【文章內容簡介】 關的管理負擔。通過對所有用戶帳戶使用一個集中數(shù)據(jù)庫，Cisco Secure ACS 可集中控制所有的用戶權限并將他們分配到網(wǎng)絡中的幾百甚至幾千個接入點。對于記帳服務，Cisco Secure ACS 針對網(wǎng)絡用戶的行為提供具體的報告和監(jiān)控功能，并記錄整個網(wǎng)絡上每次的訪問連接和設備配置變化。這個特性對于企業(yè)遵守 Sarbanes Oxley 法規(guī)尤其重要。Cisco Secure ACS 支持廣泛的訪問連接，包括有線和無線局域網(wǎng)、寬帶、內容、存儲、IP 上的語音(VoIP)、防火墻和 VPN 等。 Cisco Secure ACS 是思科基于身份的網(wǎng)絡服務(IBNS)架構的重要組件。Cisco IBNS 基于 (用于基于端口的網(wǎng)絡訪問控制的 IEEE 標準)和可擴展驗證協(xié)議(EAP)等端口安全標準，并將安全驗證、授權和記帳(AAA)從網(wǎng)絡外圍擴展到了 LAN 中的每個連接點。您可在這個全新架構中部署新的策略控制工具(如每個用戶的配額、VLAN 分配和訪問控制列表 [ACL])，這是因為思科交換機和無線接入點的擴展功能可用于在 RADIUS 協(xié)議上查詢 Cisco Secure ACS。 3) CSMARS 日志審計系統(tǒng)思科174。 安全監(jiān)控分析和響應系統(tǒng)(MARS) 是一個高性能、可擴展的威脅管理、監(jiān)控和防御設備系列，將傳統(tǒng)安全事件監(jiān)控與網(wǎng)絡智能、上下文關聯(lián)、因素分析異常流量檢測、熱點識別和自動防御功能相結合，可幫助客戶更為高效地使用絡和安全設備。通過結合這些功能，思科安全 MARS 可幫助公司準確識別和消除網(wǎng)絡攻擊，且保持網(wǎng)絡的安全策略符合性。第 三 章 網(wǎng) 絡 技 術 設 計 分 析 網(wǎng) 絡 IP 地 址 規(guī) 劃1）IP 地址合理規(guī)劃的意義在企業(yè)網(wǎng)網(wǎng)絡規(guī)劃中，IP 地址方案的設計至關重要，好的 IP 地址方案不僅可以減少網(wǎng)絡負荷，還能為以后的網(wǎng)絡擴展打下良好的基礎。IP 地址的合理是保證網(wǎng)絡順利運行和網(wǎng)絡資源有效利用的關鍵。企業(yè)網(wǎng) IP地址的分配應該盡可能地利用申請到的地址空間，充分考慮到地址空間的合理使用，保證實現(xiàn)最佳的網(wǎng)絡內地址分配及業(yè)務流量的均勻分布。具體地來說 IP地址的合理規(guī)劃有如下的意義：減少對各種資源（內存、CPU 的處理能力以及網(wǎng)絡帶寬等）的需求——IP地址的合理規(guī)劃有利于網(wǎng)絡中路由的匯聚，因而可以使得核心交換機中的路由表數(shù)目以及鏈路狀態(tài)數(shù)據(jù)庫等占用的內存減少，同時更新所占用的網(wǎng)絡帶寬也降低了；有利于 IP 地址空間的合理使用；優(yōu)化業(yè)務流量的分布；有利于故障診斷。IP 地址空間的分配與合理使用與網(wǎng)絡拓撲結構、網(wǎng)絡組織及路由政策有非常密切的關系，將對校園網(wǎng)的可用性、可靠性與有效性產生顯著影響，應充分考慮本地網(wǎng)對 IP 地址的需求，以滿足未來業(yè)務發(fā)展對 IP 地址的需求。2）IP 地址規(guī)劃根據(jù)國際互聯(lián)網(wǎng)絡技術發(fā)展的趨勢，結合當今企業(yè)的現(xiàn)實情況，我們建議IP 地址規(guī)劃遵循如下原則來設計：網(wǎng)絡出口、對外服務器群采用電信/cer 公網(wǎng) IP 地址；企業(yè)網(wǎng)采用先地區(qū)后業(yè)務劃分方法進行 IP 地址分配。地區(qū)位（8 位）. 業(yè)務功能位（8 位）. 子網(wǎng)位 主機位資源中心公共服務器盡量采用合法 IP 地址；企業(yè)網(wǎng)所有網(wǎng)絡設備均配置內部管理 IP 地址，防止非法用戶登錄。各接入點根據(jù)現(xiàn)有信息點數(shù)，并預留 3040％的擴容率，分配連續(xù) IP 地址段；各核心節(jié)點下聯(lián)各接入點分配連續(xù) IP 地址段，統(tǒng)一在核心節(jié)點提供 IP 路由，并做路由聚合。各核心節(jié)點內部根據(jù)用戶群體地理位置劃分 VLAN，并將 VLAN 網(wǎng)關 IP 設置在各核心節(jié)點交換機上。 企 業(yè) 網(wǎng) 絡 技 術 分 類在企業(yè)園區(qū)中使用的最多也是最廣泛的技術就是交換技術，交換技術的成熟帶動著這個網(wǎng)絡的發(fā)展。而企業(yè)網(wǎng)是基于這個交換架構的網(wǎng)絡，因此在交換式的網(wǎng)絡中有眾多技術 VLAN， VTP，TRUNK，三層交換，STP，HSRP/VRRP，ETHERCHANNEL 、DHCP，Multi PPP 等。下面將分別介紹這些技術的應用： 1) VLAN 技術 （Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎上，采用網(wǎng)絡管理軟件構建的可跨越不同網(wǎng)段、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡。一個 VLAN 組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡設備，允許處于不同地理位置的網(wǎng)絡用戶加入到一個邏輯子網(wǎng)中。從技術角度講，VLAN 的劃分可依據(jù)不同原則，一般有以下三種劃分方法：(1) 基于端口的 VLAN 劃分 這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡管理員對網(wǎng)絡設備的交換端口進行重新分配即可，不用考慮該端口所連接的設備。(2) 基于 MAC 地址的 VLAN 劃分 MAC 地址其實就是指網(wǎng)卡的標識符，每一塊網(wǎng)卡的 MAC 地址都是惟一且固化在網(wǎng)卡上的。MAC 地址由 12 位 16 進制數(shù)表示，前 8 位為廠商標識，后 4 位為網(wǎng)卡標識。網(wǎng)絡管理員可按 MAC 地址把一些站點劃分為一個邏輯子網(wǎng)。 (3) 基于路由協(xié)議的 VLAN 劃分 路由協(xié)議工作在網(wǎng)絡層，相應的工作設備有路由器和路由交換機（即三層交換機） 。該方式允許一個 VLAN 跨越多個交換機，或一個端口位于多個 VLAN 中。在 XX 公司的交換網(wǎng)絡中使用基于端口的VLAN 技術，將設備的管理 VLAN 定義為 VLAN1，將辦公業(yè)務劃分為 VLAN2 和VLAN3，將總部服務器劃入 VLAN100，可以控制廣播風暴的范圍，提高網(wǎng)絡整體安全性，并且使得網(wǎng)絡管理簡單、直觀。2) VTP 技術 VTP（VLAN Trunking Protocol）：是 VLAN 中繼協(xié)議，也被稱為虛擬局域網(wǎng)干道協(xié)議。它是一個 OSI 參考模型第二層的通信協(xié)議，主要用于管理在同一個域的網(wǎng)絡范圍內 VLANs 的建立、刪除和重命名。在一臺 VTP Server 上配置一個新的 VLAN 時，該 VLAN 的配置信息將自動傳播到本域內的其他所有交換機。這些交換機會自動地接收這些配置信息，使其 VLAN 的配置與 VTP Server 保持一致，從而減少在多臺設備上配置同一個 VLAN 信息的工作量，而且保持了VLAN 配置的統(tǒng)一性。VTP 有三種工作模式：VTP Server、VTP Client 和 VTP Transparent。 一般，一個 VTP 域內的整個網(wǎng)絡只設一個 VTP Server。 VTP Server 維護該 VTP 域中所有 VLAN 信息列表，VTP Server 可以建立、刪除或修改 VLAN。VTP Client雖然也維護所有 VLAN 信息列表，但其 VLAN 的配置信息是從 VTP Server 學到的，VTP Client 不能建立、刪除或修改 VLAN。VTP Transparent 相當于是一上獨立的交換機，它不參與 VTP 工作，不從 VTP Server 學習 VLAN 的配置信息，而只擁有本設備上自己維護的 VLAN 信息。VTP Transparent 可以建立、刪除和修改本機上的 VLAN 信息。XX 公司的 VLAN 中包含設備管理 VLAN，業(yè)務 VLAN，服務器 VLAN，總部和分部中的交換設備較多，因此選擇 VTP 技術來簡化 VLAN 的配置，是一種較好的方案。3) TRUNK 技術 鏈路聚合（Trunk）是一種封裝技術，它是一條點到點的鏈路，鏈路的兩端可以都是交換機，也可以是交換機和路由器，還可以是主機和交換機或路由器。Trunk 的主要功能就是僅通過一條鏈路就可以連接多個 VLAN。 4) 三層交換 第三層交換的實質是路由，類似于 IP 子網(wǎng)間的數(shù)據(jù)交換機制。當網(wǎng)絡內數(shù)據(jù)流量的分布偏離 80/20 規(guī)則，而且流量必須大量跨越子網(wǎng)邊界時，傳統(tǒng)的路由器就成了交通中的瓶頸，第三層交換技術的提出就是試圖消除這個瓶頸。第三層交換設備可以保證在不改變 IP 編址方式和網(wǎng)絡連接方式的前提下消除網(wǎng)絡中的路由瓶徑，并且實現(xiàn)第二層交換無法提供的第三層包轉發(fā)和過濾能力。系統(tǒng)劃分VLAN一方面隔離了廣播，從而有效利用系統(tǒng)帶寬，另一方面也提高了系統(tǒng)的安全性，但劃分了VLAN之后各個子網(wǎng)之間需要路由，用傳統(tǒng)的路由器可以解決這一問題，但即使性能再高的路由器也會成為系統(tǒng)性能的瓶頸，而只有三層交換才能最好的解決這一問題，它以二層交換的性能實現(xiàn)三層交換的功能。本次方案中選擇的Catalyst3560交換機支持VLAN技術，可以提供Layer3(網(wǎng)絡層)的線速路由（三層交換） ，使系統(tǒng)性能與安全性獲得最佳平衡。5) STP 技術 即 Spanningtree protocol ，STP 協(xié)議是一個二層的鏈路管理協(xié)議，它在提供鏈路冗余的同時防止網(wǎng)絡產生環(huán)路。定義在 IEEE 中，是一種鏈路管理協(xié)議，它為網(wǎng)絡提供路徑冗余同時防止產生環(huán)路。一旦二層存在環(huán)路，會產生廣播風暴、MAC 表不穩(wěn)定和使終端收到同個幀的多個副本等問題。為使以太網(wǎng)更好地工作，兩個工作站之間只能有一條活動路徑。網(wǎng)絡環(huán)路的發(fā)生有多種原因，最常見的一種是有意生成的冗余，萬一一個鏈路或交換機失敗，會有另一個鏈路或交換機替代。由于在 XX 公司總部和分部的核心層均使用了雙機單模塊的設備冗余，存在二層環(huán)路，因此需要在接入層和核心層的交換機上使用 STP 技術，以便在提供路徑冗余的同時在邏輯上斷開環(huán)路。6) 幀中繼（FR）技術幀中繼是在 分組交換技術的基礎上發(fā)展起來的一種快速分組交換技術，是改進了的 協(xié)議。它是在用戶與網(wǎng)絡接口之間提供用戶信息流的雙向傳送，并保持順序不變的一種承載業(yè)務。幀中繼是以幀為單位，在網(wǎng)絡上傳輸，并將流量控制、糾錯等功能，全部交由智能終端設備處理的一種新型高速網(wǎng)絡接口技術幀中繼是當前數(shù)據(jù)通信中的一種廣為應用的廣域網(wǎng)技術，作為高速數(shù)據(jù)接口，幀中繼可以實現(xiàn)局域網(wǎng)的（LAN）互聯(lián)等應用。幀中繼業(yè)務是在用戶與網(wǎng)路接口(UNI) 之間提供用戶信息流的雙向傳送，并保持原順序不變的一種承載業(yè)務。用戶與網(wǎng)路接口之間以虛電路進行連接，對用戶信息流進行統(tǒng)計復用。幀中繼網(wǎng)路提供基本業(yè)務和用戶選用業(yè)務。7) HSRP 熱備份路由器協(xié)議（HSRP）的設計目標是支持特定情況下 IP 流量失敗轉移不會引起混亂、并允許主機使用單路由器，以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。換句話說，當源主機不能動態(tài)知道第一跳路由器的 IP 地址時，HSRP 協(xié)議能夠保護第一跳路由器不出故障。該協(xié)議中含有多種路由器，對應一個虛擬路由器。HSRP 協(xié)議只支持一個路由器代表虛擬路由器實現(xiàn)數(shù)據(jù)包轉發(fā)過程。終端主機將它們各自的數(shù)據(jù)包轉發(fā)到該虛擬路由器上。負責轉發(fā)數(shù)據(jù)包的路由器稱之為主動路由器（Active Router） 。一旦主動路由器出現(xiàn)故障，HSRP 將激活備份路由器（ Standby Routers）取代主動路由器。HSRP 協(xié)議提供了一種決定使用主動路由器還是備份路由器的機制，并指定一個虛擬的 IP 地址作為網(wǎng)絡系統(tǒng)的缺省網(wǎng)關地址。如果主動路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動路由器的所有任務，并且不會導致主機連通中斷現(xiàn)象。由于在 節(jié)所示的企業(yè)網(wǎng)絡中的核心層使用了 2 臺核心交換機做備份，則在此時就可以通過 HSRP 來實現(xiàn)流量負載。通過這一技術可以大大的緩解核心層中設備使用過于集中而備份設備出現(xiàn)閑置的狀況。8) DHCP 動態(tài)主機配置協(xié)議（DHCP）是一種使網(wǎng)絡管理員能夠集中管理和自動分配 IP 網(wǎng)絡地址的通信協(xié)議。在 IP 網(wǎng)絡中，每個連接 Inter 的設備都需要分配唯一的 IP 地址。DHCP 使網(wǎng)絡管理員能從中心結點監(jiān)控和分配 IP 地址。當某臺計算機移到網(wǎng)絡中的其它位置時，能自動收到新的 IP 地址。DHCP 使用了租約的概念，或稱為計算機 IP 地址的有效期。租用時間是不定的，主要取決于用戶在某地聯(lián)接 Inter 需要多久，這對于教育行業(yè)和其它用戶頻繁改變的環(huán)境是很實用的。通過較短的租期， DHCP 能夠在一個計算機比可用 IP 地址多的環(huán)境中動態(tài)地重新配置網(wǎng)絡。為了給終端動態(tài)分配 IP 地址，我們在 XX 公司總部的二個核心交換機和分部的路由器 R7 上均配置 DHCP 服務，以實現(xiàn) IP 地址按要求動態(tài)分配和 DHCP 服務的備份。 路 由 協(xié) 議 選 擇在設計大中型網(wǎng)絡時，由于靜態(tài)路由協(xié)議設置麻煩、對網(wǎng)絡的變化適應性差，一般不予采用，而今作為路由設計的補充?，F(xiàn)在，常用的動態(tài)路由協(xié)議有以下四種： RIPRIP 是一種 Distance Vector 路由協(xié)議，有以下特點：簡單，廣泛使用，技術成熟，信息源與目的地間限制在 15 個 hops（或路由器）之內，超過 15hops 將認為不可及。RIPv1 不支持 VLSM（Variable Length Sub Mask） ，不可能有效地利用IP 地址。每 30 秒傳送路由信息將耗費大量的帶寬，在大型網(wǎng)絡及低速鏈路中更明顯。路由收斂較慢，此算法將經(jīng)歷 Holddown(180S)的周期。RIP 在計算路徑時，只考慮 hop count，不考慮網(wǎng)絡鏈路的延遲和 cost。RIP 網(wǎng)絡適用于平面結構的網(wǎng)絡。RIP 適用于中、小型網(wǎng)絡。一般網(wǎng)絡的路由器數(shù)目少于 20 個。 OSPFOSPF 是 Link State，層次化拓撲的路由協(xié)議。有以下特點：僅用于 IP 網(wǎng)絡，無 hop count 的限制，適于大型網(wǎng)絡，支持 VLSM，用hello 通知其他路由器本路由器工作